Kreditkarten-Betrug : Lauter Löcher

Sicherheitsnummern auf Kreditkarten kann man knacken, und der Branche ist das eigenartig gleichgültig.
Eine Frau am Geldautomaten. © Patricia de Melo Moreira/AFP/Getty Images

Auf der Rückseite von Master- und Visakarten, gleich neben dem Feld für die Unterschrift, steht eine aufgedruckte Geheimzahl aus drei kleinen Ziffern. 089 lautet sie zum Beispiel, oder 945, oder 328. Die Ziffernfolge ist von Karte zu Karte verschieden. Im Branchenjargon wird sie »Kartenprüfnummer« genannt, sie soll das Einkaufen per Telefon und im Internet sicherer machen. Das stimmt bloß nicht.

Die Kartenprüfnummer wurde Ende der neunziger Jahre erfunden, weil im damaligen Internetboom auch ein neues, dunkles Geschäft entstand: Kreditkartenbetrug per Internet . Es war das nahezu perfekte Verbrechen. Wer sich geschickt anstellte, konnte anonym im Internet surfen und mit ein paar gestohlenen Informationen – einer Kartennummer, dem Namen des Karteninhabers und dem Ablaufdatum – auf Kosten anderer Leute einkaufen.

Solche Angaben finden sich gelegentlich auf Kassenbelegen, sie können auch von betrügerischen Kellnern und Kassierern kopiert werden, und immer verbreiteter wird das sogenannte Skimming : Deutsche Banken mussten gerade erst Tausende Geldautomaten austauschen, weil Gauner die Geräte mit Lesegeräten spicken konnten; Hunderttausende ec- und Kreditkartendaten sollen auf diese Weise schon ausspioniert worden sein. Im Internet blüht das Geschäft mit gestohlenen Kreditkartendaten: Millionen davon werden täglich gehandelt.

Glaubt man den Kreditkartenfirmen, dann soll der dreistellige Zahlencode, den man bei Einkäufen übers Telefon und per Internet stets nennen muss, gegen den Missbrauch gestohlener Kartendaten helfen. Er »soll die Nutzung von gefälschten oder gestohlenen Kreditkarten verhindern und Bezahlvorgänge im Versandhandel sicherer gestalten«, erläutert beispielsweise der Eurocard-Verbund. Visa formuliert es so: »Durch die Kartenprüfnummer wird sichergestellt, dass die einkaufende Person auch tatsächlich im Besitz der Kreditkarte ist und nicht nur einen Einkaufsbeleg hat oder in Kenntnis der Kartennummer ist.«

Es gibt aber ein Problem: Es dauert zwischen einer Viertelstunde und wenigen Stunden, diese Kartenprüfzahl zu knacken. Sebastian Schreiber zum Beispiel kann das, 38 Jahre alt, ein studierter Informatiker aus Tübingen, der gerne Anzug und Krawatte trägt und nach eigener Beschreibung von Beruf ein »Penetrationstester« ist. Das heißt, er spürt Sicherheitslücken in elektronischen Systemen auf. Ein Hacker, könnte man auch sagen, im Dienste von Unternehmen und Banken.

Für die ZEIT unternahm Schreibers Firma SySS GmbH einen einfachen Test: Sie bekam telefonisch die Angaben von der Vorderseite einer Kreditkarte. Am nächsten Morgen rief dann Schreibers Mitarbeiter Micha Borrmann zurück und sagte in routinemäßigem Tonfall: »027.« Das war die angeblich streng geheime Prüfzahl auf der Kartenrückseite. Einmal versagte das Verfahren der Tübinger bei den Tests – aber wieder und wieder führten Wiederholungen zum gleichen Ergebnis: Die von Schreibers Team ermittelte Zahl stimmt.

Das ist an sich schon merkwürdig genug. Noch merkwürdiger ist, was passiert, wenn man bei den Kreditkartenfirmen und Finanzinstituten anruft und sich nach dieser Sicherheitslücke erkundigt. »Uns ist nicht bekannt, dass es da Sicherheitsprobleme geben könnte«, lautet die Antwort vom Bankenverband. »Der CVV2 (so heißt die Visa-Kartenprüfziffer im Jargon, Anm. d. Red.) kann nicht einfach errechnet werden«, schreibt Visa zurück. Bei Banken, auch bei manch großen Sicherheitsfirmen lautet die Auskunft ähnlich. Mastercard schickt als Antwort eine lange Erklärung, verfasst von hausinternen Experten: Der Code hinten auf der Karte sei unknackbar, weil darin ein »Triple-DES cryptographic algorithm« zum Einsatz komme sowie ein »double-length-112-bit secret key«.

Verlagsangebot

Entdecken Sie mehr.

Lernen Sie DIE ZEIT 4 Wochen lang im Digital-Paket zum Probepreis kennen.

Hier testen

Kommentare

7 Kommentare Seite 1 von 2 Kommentieren

Es geht nur um das schnelle Geld...

Wen interessiert schon das Risiko und die kriminelle Energie?
Der Kunde muss damit leben. Die Banken kassieren, die Karteninstitute auch.
Die Menschen wollen den schnellen und ultimativen Genuss und Kick, das ist der Preis dafür.
Ich für meine Person werde meine Karte zurückgeben, da das Kreditkartenunternehmen sie im Falle eines Widerspruchs schlicht weg im Stich läßt. Sie müssen Ihrem eigenen Geld hinterherlaufen!
Den Klageweg beschreiten und dran bleiben. Der Händler, der sie zu betrügen versucht ( online-Geschäfte) windet sich mit scheinheiligen Erklärungen und musste letzendlich doch zahlen, da er sich ungerechtfertigt bereichert hatte. In den AGB's steht, dass sie sich mit dem Händler einigen müssen. Das ist echt lachhaft und eines Dienstleisters im Finanzwesens unwürdig.
Ich zahle lieber zukünftig per Rechnung oder Lastschrifteinzug bei mir gut bekannten Unternehmen mit seriösem Hintergrund.
Das ist mir die Sache und meine Nerven wert.
Dafür warte ich auch gerne etwas länger auf die Ware oder bestelle eben rechtzeitiger.
Aus eigener Erfahrung kann ich dies nur allen raten!

PS: Schauen Sie mal genau in Ihre Kreditkarten AGB's, falls sie die überhaupt haben.

Im Internet werden sie nicht von jedem Kreditkartenunternehmen angezeigt, was schon sehr sonderbar ist!!

Es gibt keine Probleme

Sie vergessen zu erwähnen das bei "sicheren" Systmen die Beweisphlicht ungedreht ist, sie bei einen grösseren Betrug bei den die Kartenfirma sich weigert zu zahlen also vor Gericht beweisen müssen das sie es nicht wahren, und das es ein Hacker war. Was angesichts des als "sicher" eingestufen Systems wohl nur unter massiven Geldeinsatz gelingen dürfte.

Es gibt also für die Kartenfirmen kein Problem, sie zahlen liber die auffligenden Betrugsfäle weil das weit billiger iat als ein neues Sicherhietssystem, auserdem sind sie ja gegen all zu grosse Forderungen duch das rechtilich "sichere" System abgesichert.

Die Kosten für die erstattungen zahlen dann halt die Kunden mit etwas höheren Gebüren. Aber wir sollen ja grad im internett uns öffnen und unter RealNahmen Posten und alle daten zugänglich machen da ja wer nicht zu verbergen hat nicht befürchten muss.

Aber natürlich werden wir keine Daten darüber gekommen wie viele Betrugsfälle es gegeben hat und wie hoch die schadenssumme ist.

Die Ignoranz unserer Gesellschaft in digitalen Dingen

... ist weit über den Mißbrauch von Kreditkarten hinaus riskant. Gestern sollte uns weiß gemacht werden, dass mit einem Schlag gegen die Rechner der Piratenpartei ein Hacker-Angriff gegen frz. Kernkraftbetreiber vereitelt werden musste. Bei näherem Hinsehen ("Rechtshilfe") werweist sich der Zugriff als organisierte Ignoranz - auf Seiten des BKA: http://berlin2011.wordpre...

Unnötige Panikmache

Die in Deutschland eisern am Leben gehaltene Maestrokarte (EC) ist doch viel unsicherer. Da steht der einzige Sicherheitscode, die Unterschrift, hinten drauf. Man muss sich nur einen Elektronikladen mit Lastschriftkasse aussuchen, und schon kann man den neuen Breitbildfernseher gratis raustragen.

Online gehts noch einfacher, denn man braucht nur die Kontodaten, die alle auf der Karte stehen-et voila.

Da ist Mastercard mit seinem Securecode schon sicherer, denn das Kennwort steht nirgends drauf. Und es gibt kein sicheres Zahlungsmittel. Bargeld ist ja schließlich noch unsicherer...